Деловое обозрение Первый ульяновский журнал для бизнеса и о бизнесе
  1. Рейтинги «ДО»
  2. Интервью
  3. Эксклюзив «ДО»
  4. Экономика
  5. Туризм
  6. Инфографика
  7. Медицина
  8. Образование
  9. Авто
  10. Спорт
  11. UlМебель
28.11.2025
0

Безопасность по модели Zero Trust: почему «доверять, но проверять» больше не работает?

В современном цифровом мире, где границы между внутренней и внешней сетями стерлись, традиционные подходы к безопасности больше не справляются с угрозами. Ответом на эти вызовы стала стратегия Zero Trust (нулевого доверия) — модель, которая кардинально меняет философию защиты информации.

Фото: freepik

Концепция Zero Trust не возникла на пустом месте. Ее появление стало закономерным ответом на фундаментальные изменения в IT-ландшафте и нарастающую неэффективность традиционных моделей безопасности.

Кризис модели "Доверяй, но проверяй"

К концу 2000-х годов стало очевидно, что классическая модель безопасности с четким периметром (известная как "замок и ров") терпит крах. Этому способствовали несколько тенденций:

Расцвет облачных вычислений. Данные и приложения начали массово перемещаться за пределы корпоративных дата-центров.

Мобильность. Появление смартфонов и ноутбуков сделало статичное рабочее место редкостью.

Исчезновение периметра. Понятие "внутренней сети" теряло смысл, так как сотрудники подключались из любого места. На сегодняшний день 73% сотрудников работают удаленно, а более 87% компаний используют облака для конфиденциальных задач.

Старая модель, основанная на предположении, что все внутри сети заслуживает доверия, стала не просто неэффективной, а опасной.

Рождение философии

В 2010 году Джон Киндерваг, ведущий аналитик компании Forrester Research. опубликовал свою знаковую серию отчетов, в которой впервые сформулировал концепцию Zero Trust Architecture (ZTA). Его работа не была просто очередным советом по безопасности; это была новая парадигма, основанная на нескольких простых, но революционных принципах:

Никогда не доверяй, всегда проверяй (Never Trust, Always Verify). Это ядро философии. Доверие не должно предоставляться по умолчанию никому и ничему — ни пользователям, ни устройствам, ни приложениям — независимо от их местоположения (внутри или снаружи корпоративной сети).

Принцип наименьших привилегий (Least Privilege Access). Предоставлять доступ только к тем ресурсам, которые абсолютно необходимы для выполнения конкретной задачи.

Принятие предположения о компрометации (Assume Breach). Действовать так, как будто злоумышленник уже проник в сеть. Это меняет фокус с предотвращения проникновения на минимизацию ущерба и предотвращение горизонтального перемещения.

Киндерваг предлагал сместить фокус с защиты гигантской и размытой "поверхности атаки" (вся сеть) на защиту небольших, четко определенных "защищаемых поверхностей" (protect surfaces). Этими поверхностями являются самые ценные активы компании: критически важные данные, приложения, активы и сервисы (DAAS).

От Forrester до Google и BeyondCorp

Изначально концепция Zero Trust многими воспринималась как утопическая. Но все изменилось, когда одна из самых технологически продвинутых компаний в мире — Google — публично объявила о ее успешном внедрении.

В период с 2009 по 2011 год Google провела операцию "Aurora" — сложную кибератаку, целью которой были исходные коды и интеллектуальная собственность компании. Этот инцидент заставил Google кардинально пересмотреть свой подход к безопасности.

Результатом стала внутренняя программа, а затем и опубликованная архитектура BeyondCorp. Google открыто делилась деталями своей реализации, которая полностью соответствовала принципам Zero Trust:

- Отказ от привилегий для корпоративной сети. Доступ к приложениям предоставлялся не на основе IP-адреса (нахождения "внутри" сети), а на основе идентификации пользователя и устройства и их соответствия строгим политикам безопасности.

- Постоянная проверка. Каждый запрос на доступ к каждому ресурсу проходил строгую аутентификацию и авторизацию.

Успех Google стал мощнейшим доказательством жизнеспособности Zero Trust и катализатором для ее распространения по всему миру.

Стандартизация и мейнстрим

Следующим важным шагом стала стандартизация. В 2020 году Национальный институт стандартов и технологий США (NIST) выпустил специальную публикацию SP 800-207 "Zero Trust Architecture". Этот документ дал официальное определение Zero Trust, описал логические компоненты архитектуры, предложил варианты развертывания.

Благодаря NIST концепция перестала быть просто "философией" и стала конкретным инженерным фреймворком, которым могли руководствоваться компании любого размера.

«Проверяй всё»

Zero Trust — это не продукт, а стратегический подход к безопасности, основанный на принципе «never trust, always verify» («никому не доверяй, всегда проверяй»). Его суть в отказе от автоматического доверия кому-либо или чему-либо — пользователям, устройствам, приложениям, независимо от их местоположения.

Помимо изначальных принципов, концепция Zero Trust включила в себя микросегментацию (сеть делится на небольшие, изолированные зоны. Каждая зона имеет свои строгие правила доступа. Это предотвращает свободное перемещение злоумышленника по сети в случае взлома) и непрерывный мониторинг и аналитику (безопасность — не разовое событие, а непрерывный процесс. Поведение пользователей и систем отслеживается в реальном времени для выявления аномалий).

От концепции к мейнстриму

Мировой рынок решений в области Zero Trust демонстрирует исключительную динамику. По последним оценкам, его объем в 2025 году достигает $38.37 млрд, а к 2030 году, согласно прогнозам, утроется, достигнув отметки в $124.50 млрд. Такой стремительный рост, со среднегодовым темпом (CAGR) около 16.7%, обусловлен тремя ключевыми факторами: учащением целевых кибератак, массовым переходом на облачные технологии и необходимостью соответствовать ужесточающимся требованиям регуляторов по защите данных.

Глобальный опрос, проведенный Gartner, свидетельствует, что 63% организаций по всему миру уже частично или полностью внедрили принципы нулевого доверия. Другое масштабное исследование рисует еще более показательную картину: 43% респондентов сообщают о практическом применении модели, в то время как 46% находятся в активном процессе перехода. Это означает, что в совокупности 89% организаций либо уже пользуются преимуществами Zero Trust, либо целенаправленно движутся к этой цели.

Интерес к Zero Trust в России демонстрирует уверенный рост — согласно исследованию «Информзащиты», спрос на соответствующие решения вырос на 22% только в I квартале 2025 года. Однако о массовом переходе говорить пока рано: лишь 20-30% крупнейших компаний активно внедряют элементы этой архитектуры. Многие организации двигаются осторожно, начиная с пилотных проектов в отдельных подразделениях, а не с полномасштабной трансформации.

Ключевыми драйверами этого процесса стали несколько факторов:

- Ужесточение кибератак, особенно целенаправленных, рост которых оценивается в 22%, заставляет бизнес искать более эффективные подходы к защите.

- Требования регуляторов, в частности Приказ ФСТЭК №239, делают внедрение Zero Trust не просто рекомендацией, а практической необходимостью для прохождения аттестационных испытаний.

- Процессы импортозамещения и переход на отечественное ПО также стимулируют пересмотр архитектуры безопасности в пользу более универсальных и гибких решений.

Проблемы на пути внедрения

Отчет Tailscale за 2025 год выявляет серьезный разрыв между стремлениями и реальностью. Лишь 29% компаний используют идентификационно-ориентированный доступ как основную модель. Почти половина организаций (48%) все еще работает в гибридном режиме, пытаясь совместить устаревшие IP-ориентированные методы с современными подходами.

Главными барьерами остаются высокая стоимость и сложность интеграции новых решений с унаследованными системами. Многие компании сталкиваются с острой нехваткой квалифицированных специалистов, способных спроектировать и внедрить сложную архитектуру нулевого доверия

Кроме того, сохраняется операционная неэффективность: 90% респондентов Tailscale отмечают проблемы с текущими VPN-решениями, включая низкую скорость и высокую задержку, а 68% организаций до сих пор управляют сетевым доступом вручную, что создает почву для ошибок и нарушений безопасности.

Путь к нулевому доверию

Специалисты рекомендуют двигаться пошагово, начиная с инвентаризации и идентификации так называемой «защищаемой поверхности» — критически важных активов, данных, приложений и сервисов (DAAS).

Следующим ключевым шагом становится внедрение строгого контроля доступа. Многофакторная аутентификация (MFA) является краеугольным камнем всей модели и должна быть обязательной для всех без исключения. Одновременно с этим необходимо применять принцип наименьших привилегий, предоставляя пользователям и системам доступ только к тем ресурсам, которые необходимы для решения конкретных задач

Важнейшим элементом является отказ от устаревших VPN, которые предоставляют избыточный доступ ко всей сети, в пользу решений для сетевого доступа с нулевым доверием (ZTNA), обеспечивающих точечный доступ к конкретным приложениям.

Завершает этот процесс внедрение непрерывного мониторинга и автоматизации для отслеживания активности, анализа поведения и мгновенного реагирования на подозрительные события.

Как точно подмечает Нил Макдональд, старший аналитик Gartner, «Zero Trust — это не технология; это философия безопасности, которая меняет наши представления о доступе».

Экономика безопасности

Несмотря на понимание преимуществ, российские компании сталкиваются с серьезными вызовами. Высокая стоимость внедрения и нехватка ресурсов остаются основными барьерами. Многие организации испытывают сложности с интеграцией новых решений в унаследованную ИТ-инфраструктуру. Острую проблему представляет и дефицит квалифицированных специалистов, способных спроектировать и внедрить сложную архитектуру нулевого доверия.

Важным препятствием становится и психологический фактор — сопротивление сотрудников изменениям и ошибочное восприятие Zero Trust как «коробочного» продукта, а не стратегии и непрерывного процесса. Преодоление этих барьеров требует поэтапного подхода, инвестиций в обучение персонала и партнерства с опытными интеграторами.

Переход к Zero Trust в России — это эволюционный процесс, начинающийся с аудита и идентификации критически важных активов. Первым практическим шагом становится внедрение строгого контроля доступа через многофакторную аутентификацию с использованием российских токенов и принципа наименьших привилегий.

Для получения финансирования проектов по внедрению Zero Trust российские CISO вынуждены говорить с руководством на языке инвестиций. Прямой ROI в первые годы может быть отрицательным, но ключевой аргумент заключается в том, что Zero Trust работает как страхование от катастрофических убытков. Риск потери 100+ миллионов рублей за один инцидент значительно превышает плановые инвестиции в безопасность.

В современных условиях Zero Trust перестал быть маркетинговым лозунгом и превратился для российского бизнеса в практический инструмент защиты от растущих угроз, требований регуляторов и вызовов импортозамещения. Это уже не вопрос выбора, а условие сохранения конкурентоспособности в цифровую эпоху.

Как построить устойчивый бизнес в эпоху цифровой трансформации

Цифровая эпоха диктует новые правила игры. Если раньше успех во многом зависел от присутствия на крупных маркетплейсах, то теперь тренд смещается в сторону обретения цифрового суверенитета.

Автоматизация как драйвер эффективности

Чтобы управление лояльностью и привлечением клиентов было рентабельным, необходима технологическая основа. Маркетинг становится все более технологичным, и ручные операции уступают место автоматизированным системам.

Анастасия Стяглова
28.11.2025
167
Темы: Менеджмент знаний Экономика
Подборки: кибербезопасность , it
Деловое Обозрение
Адрес редакции:
г. Ульяновск, ул. Робеспьера 112а
Тел.: +7 (8422) 44-53-53
© 2005-2025 «Деловое обозрение»
При использовании материалов сайта ссылка www.uldelo.ru обязательна. 12+

Политика конфиденциальности
Пользовательское соглашение

Рейтинг@Mail.ru Яндекс.Метрика Индекс цитирования
Рекламодателям
Контакты
Подписаться

Войти с помощью учетной записи uldelo.ru

Регистрация
Забыли пароль?

Войти с помощью аккаунта в социальных сетях: